Adobe電子書閱讀軟件竊取用戶隱私
責編:admin |2014-10-14 11:25:02Adobe近期終于承認了他的Digital Edition電子書閱讀軟件記錄了用戶的電子書閱讀歷史記錄并且進行明文回傳。 Adobe聲稱是用于數字版權管理(DRM)的目的。不過這可能導致電子書讀者對DRM的進一步不信任。
Adobe Digital Edition電子書閱讀器 第四版,對用戶的每一頁閱讀以及閱讀順序進行了記錄,然后以明文未加密的方式回傳到Adobe的服務器上。
研究人員Nate Hoffelder發現了這一行為。 他還發現Adobe除了用戶閱讀信息之外,還用明文回傳了書名, 出版商等其他電子書的元數據。
Adobe聲稱“ 收集這些用戶數據的目的完全是為了進行版權確認,以及確保出版商不同的授權模式的實現。此外,收集的數據僅僅限于用戶正在閱讀的書籍,并不會去收集用戶書庫里的其他電子書數據或者其他電子書閱讀器中的電子書數據。”
“用戶隱私對Adobe非常重要, 我們的行為符合軟件的最終用戶使用條款以及Adobe的隱私政策 “ Adobe的聲明中這樣寫道。
不過,這樣的聲明顯得有些滑稽, 既然用戶隱私對Adobe來說如此重要, 那為什么Adobe會用明文來傳送用戶的隱私數據,使得網絡中的所有人都能看得到? 難道這也是符合Adobe的隱私政策嗎?
Adobe解釋了數據收集是為了數字版權管理機制, 是應出版商的防盜版要求進行的。 Adobe給出了一個詳細列表解釋了為什么它需要這些信息。 這里包括:
用戶ID:用來進行用戶認證。
設備ID:用于數字版權管理(DRM), 因為出版商通常會限制電子書閱讀設備的數量
認證App ID: 用于DRM, 確保認證的App才能夠對電子書進行渲染。
設備IP:設備IP的收集是為了確認設備的地理位置,因為出版商會針對不同的地域采取不同的定價策略。
書籍閱讀的時長:有些出版商可能會采取借閱的模式, 比如只能借閱30天等, 這類數據的采集是為了此目的。
書籍閱讀的百分比:有的出版商采取訂閱模式, 會根據書籍閱讀的百分比來調整定價。 收集這類數據是為了出版商能夠采取此類模式。
然而, Nate Hoffelder在博客中指出, Digital Editions 4不僅僅收集自己書庫中的數據, 而是收集他電腦里所有電子書的數據。 Adobe回應說這不應該發生, 不過需要程序開發人員檢查一下是否是一個bug。
此外, Adobe聲稱在用戶注冊下載軟件時,在最終用戶條款(EULA)中,Adobe寫道“本軟件可能在不通知用戶的情況下, 自動連接互聯網與Adobe網站或服務器進行通信, 用于如許可證驗證, 提供用戶額外信息等目的“
這個EULA看上去好像Adobe可以收集這些數據, 不過用戶其實并不買賬, 電子前線基金(EFF)就把Adobe Digital Editions4稱為“間諜軟件”。
EFF的知識產權總監Corynne McSherry,認為:“把用戶信息以明文傳遞無論如何與幾十年來圖書館或者書店致力于保護讀者和用戶隱私的努力也是背道而馳的。”
事實上, 2011年, EFF和其他組織一起努力通過了《讀者隱私法案》, 法案要求政府和民間機構需要有足夠的理由來采集用戶隱私, 并且用戶的隱私記錄應該被安全保護。 而如果用戶使用Adobe Digital Editions 4, 他的隱私并沒有得到很好的保護。
事實上, Adobe可能會碰到索尼在2005年遇到的同樣的公關危機。 當時Sony BMG為了DRM的目的, 在CD中裝了一個Rootkit木馬。 而在被揭發出來后, Sony也是辯稱安裝Rootkit是實施DRM的必要條件。 而Sony BMG的全球數字業務總裁Thomas Hesse則聲稱:“絕大多數用戶不知道什么是Rootkit, 所以他們不會在乎的。”這也為他贏得了當年的大嘴獎。
最后, 由于有明顯的證據表明, 黑客可以利用這個Rootkit攻擊用戶的機器,索尼被迫與音樂購買用戶達成了高達數千萬美元的和解。 而音樂行業則不敢再CD上采用DRM技術。 而Adobe有可能在重蹈索尼的覆轍。